Comunicazioni crittografate - Metasys - LIT-12011832 - General System Information - Metasys System - 10.1

Guida di configurazione del sistema Metasys

Product
Document type
Configuration Guide
Document number
LIT-12011832
Version
10.1
Revision date
2019-10-14

Tutti i dispositivi basati sul server Metasys (ADS, ADX, OAS e ODS) e i controllori di rete sono installati e funzionano in modalità sicura con certificati autofirmati. I certificati autofirmati migliorano la sicurezza del sistema fornendo una connessione sicura e crittografata al server Web Metasys. Tutti i dati sulla rete avvengono su una connessione https che usa TLS 1.2 e non può essere letta da un'applicazione di terze parti. Quando si utilizza un certificato autofirmato, il server Web Metasys dice in effetti: "Non preoccupatevi, sono chi dico di essere". Potete fidarvi di me". L'utilizzo di certificati autofirmati non ha alcun costo.

Se il cliente desidera un livello di sicurezza più elevato, può sostituire i certificati autofirmati installati sul server Metasys e sui controllori di rete con un certificato rilasciato da una Certificate Authority (CA). Questi certificati attendibili possono essere generati dal reparto IT interno del cliente o essere acquistati da una CA come Verisign o GoDaddy. Quando si utilizza un certificato attendibile, il server Web Metasys dice in effetti: "Fidati di me - la CA concorda che io sia chi dico di essere".

I passi per l'installazione di certificati attendibili su un server Metasys sono trattati nei rispettivi documenti di installazione: Metasys Server Installation and Upgrade Instructions Wizard (LIT-12012162) oppure ODS Installation and Upgrade Instructions Wizard (LIT-12011945). I passi per l'installazione dei certificati attendibili sui controllori di rete sono descritti nel documento Metasys SCT Help (LIT-12011964).

Quando si distribuiscono i certificati, tenere presente quanto segue:

  • I passi per l'impostazione dei certificati attendibili possono essere complicati. Chiedere assistenza al reparto IT del cliente.
  • La comunicazione sicura e crittografata ha la massima importanza tra il Site Director e un cliente che si collega al Site Director da Metasys SMP. In molti casi, la scelta più pratica è quella di installare un certificato attendibile presso il Site Director (ADS, ADX, OAS o ODS) e un certificato autofirmato su ogni controllore di rete aggiornato alla Release 8.1 o successiva. Se il Site Director è un controllore di rete, si potrebbe preferire l'installazione di un certificato attendibile solo sul Site Director NAE e puntare sui certificati autofirmati per i relativi dispositivi child.
  • Il nome del controllore di rete all'interno dell'archivio SCT e il nome comune del soggetto (o nome host associato al certificato) all'interno del certificato devono corrispondere esattamente affinché un certificato sia importato e associato a IIS.
  • Alcune autorità di certificazione possono richiedere che il nome comune del soggetto (o il nome host associato al certificato) all'interno del certificato includa un nome di dominio. Se si sta implementando la gestione dei certificati su un sistema Metasys esistente, l'aggiunta di un certificato attendibile può richiedere l'aggiunta di un nome di dominio al nome host originale di un server o di un controllore. Questa azione richiede di rinominare tutti i dati nei database storici di Metasys. Questa operazione di ridenominazione richiede operazioni intensive di database che prolungano significativamente l'aggiornamento del sistema. Pertanto, accertarsi di assegnare tempo supplementare se si decide di procedere alla ridenominazione dei dati storici come parte di un aggiornamento a Metasys Release 10.1.